CN117098131A - 终端设备的端口控制方法、网络设备及存储介质 - Google Patents
终端设备的端口控制方法、网络设备及存储介质 Download PDFInfo
- Publication number
- CN117098131A CN117098131A CN202210514184.8A CN202210514184A CN117098131A CN 117098131 A CN117098131 A CN 117098131A CN 202210514184 A CN202210514184 A CN 202210514184A CN 117098131 A CN117098131 A CN 117098131A
- Authority
- CN
- China
- Prior art keywords
- white list
- terminal device
- time
- port control
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种终端设备的端口控制方法、网络设备及计算机可读存储介质,终端设备配置有进程白名单集合,方法包括:对进程白名单集合进行状态检测得到状态检测结果,并根据状态检测结果更新进程白名单集合;当确定更新后的进程白名单集合为空,根据预配置的白名单接入时间集合生成用于控制终端设备的端口状态的端口控制策略。在本发明实施例中,通过对进程白名单集合进行状态检测得到状态检测结果,并且与白名单接入时间集合配合以实现对端口状态的调节,从而提高终端设备的安全性,降低终端设备被攻击的风险。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种终端设备的端口控制方法、网络设备及计算机可读存储介质。
背景技术
随着5G技术的普及,无线宽带融合的趋势越来越明显,随之而来的是具备5G通信能力的无线终端产品在各行各业的广泛应用。因此对终端的设备性能提出了更高的要求,其中,高性能、高传输速率和高可靠性为5G设备的三大性能指标。
在三大性能指标中,高可靠性变得越来越重要,由于移动互联终端产品始终存在被远程访问的业务场景,比如通过ssh(Secure Shell,安全外壳协议)、telnet协议或者远程登陆等一些常用的功能被远程访问,所以端设备需要时刻打开监听端口以便接受访问信息,等接受访问信息完成后再手动关掉监听端口,这也就导致了终端设备长时间暴露在网络中会被恶意攻击的问题,并且等接受访问信息完成后再手动关掉监听端口降低了端口开关的灵活性,为了解决被恶意攻击的问题,通常添加一组预先配置好的白名单进行访问,增加配置人员的工作量,并且无法判断白名单中外部访问设备的访问时间,从而导致监听端口一直打开,降低网络设备的安全性。
发明内容
以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
本发明实施例提供了一种终端设备的端口控制方法、网络设备及计算机可读存储介质,实现对端口状态进行调节,提高终端设备安全性,降低终端设备被攻击的风险。
第一方面,本发明实施例提供了一种终端设备的端口控制方法,所述终端设备配置有进程白名单集合,所述端口控制方法包括:
对所述进程白名单集合进行状态检测得到状态检测结果,并根据所述状态检测结果更新所述进程白名单集合;
当确定更新后的所述进程白名单集合为空,根据预配置的白名单接入时间集合生成用于控制所述终端设备的端口状态的端口控制策略。
第二方面,本发明实施例提供了一种网络设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述的终端设备的端口控制方法。
第三方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行如第一方面任意一项所述的终端设备的端口控制方法。
本发明实施例提供的终端设备的端口控制方法,至少具有如下有益效果:对进程白名单集合中的进程白名单进行状态检测,得到状态检测结果,并根据状态检测结果更新进程白名单集合,从而实现对进程白名单集合中进程白名单的过滤,以便于删除进程白名单集合中的处于非活动状态、释放状态或者断开状态的访问链接的进程白名单,通过对进程白名单集合的更新来保障终端设备的安全性,避免被潜在攻击的问题,并且当确定更新后的进程白名单集合为空,根据预配置的白名单接入时间集合进行判断,从而生成用于控制终端设备的端口状态的端口控制策略,实现对端口的开启或者关闭,也就是说,通过对进程白名单的状态检测与配置白名单接入时间集合相配合,能够提高终端设备安全性,降低终端设备被攻击的风险。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1是本发明一个实施例提供的用于终端设备的端口控制方法的系统架构的示意图;
图2是本发明一个实施例提供的终端设备的端口控制方法的流程图;
图3是图2中的步骤S100的具体方法流程图;
图4是图2中的步骤S200的具体方法流程图;
图5是本发明另一实施例提供的终端设备的端口控制方法的流程图;
图6是本发明一个实施例提供的进程白名单集合配置方法的流程图;
图7是本发明另一实施例提供的终端设备的端口控制方法的流程图;
图8是本发明一个具体示例提供的终端设备的端口控制方法的流程图;
图9是本发明一个具体示例提供的用于终端设备的端口控制方法的网络拓扑的示意图;
图10是本发明一个实施例提供的网络设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
需要注意的是,在本发明实施例的描述中,说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示单独存在A、同时存在A和B、单独存在B的情况。其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。
此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明实施例提供了一种终端设备的端口控制方法、网络设备及计算机可读存储介质,对进程白名单集合中的进程白名单进行状态检测,得到状态检测结果,并根据状态检测结果更新进程白名单集合,从而实现对进程白名单集合中进程白名单的过滤,以便于删除进程白名单集合中的处于非活动状态、释放状态或者断开状态的访问链接的进程白名单,通过对进程白名单集合的更新来保障终端设备的安全性,避免被潜在攻击的问题,并且当确定更新后的进程白名单集合为空,根据预配置的白名单接入时间集合进行判断,从而生成用于控制终端设备的端口状态的端口控制策略,实现对端口的开启或者关闭,也就是说,通过对进程白名单的状态检测与配置白名单接入时间集合相配合,能够提高终端设备安全性,降低终端设备被攻击的风险。
下面结合附图,对本发明实施例作进一步阐述。
参照图1,图1是本发明一个实施例提供的用于终端设备的端口控制方法的系统架构的示意图。
在图1的示例中,该系统架构100包括服务控制模块200、端口及链接监控模块300、接收模块400和时间检测模块500。
在一实施例中,服务控制模块负责对外部访问设备或者访问链接进行状态检测,从而生成用于控制终端设备的端口控制策略,并且还负责管理白名单接入时间集合、白名单关闭时间集合等时间集合,以及维护进程白名单集合的状态等。
可以理解的是,服务控制模块可以根据端口控制策略选择关闭或者打开端口。
在一实施例中,端口及链接监控模块负责检测进程白名单集合中已存在的进程白名单的访问链接的状态。
需要说明的是,终端设备配置有进程白名单集合,端口及链接监控模块对进程白名单集合中所有的进程白名单的访问链接进行检测,并且当访问链接处于非活动状态、释放状态或者断开状态中的至少一种,从进程白名单集合中删除与访问链接对应的进程白名单。
在一实施例中,接收模块负责接收外部访问设备的开放端口或访问链接的请求报文。
可以理解的是,接收模块通过网络产品界面设计(Website User Interface,WebUI)或者远程通过网络协议开启终端设备的端口,其中网络协议可以为用于用户端设备(Customer Premises Equipment,CPE)和自动配置服务器(Auto-Configuration Server,ACS)之间沟通的通讯协定的tr069协议。
在一实施例中,时间检测模块负责时间集合配置以及对已存在项活动时间的控制。
需要说明的是,时间检测模块用于通过计时器配置白名单接入时间集合、白名单关闭时间集合等,并且还可以通过计时器配置其他时间集合,本实施例不做具体限制。
本发明实施例描述的系统架构100以及应用场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域技术人员可知,随着网络拓扑的演变和新应用场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图1中示出的系统架构并不构成对本发明实施例的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
基于上述系统架构的结构,下面提出本发明的终端设备的端口控制方法的各个实施例。
参照图2,图2是本发明一个实施例提供的终端设备的端口控制方法的流程图,该终端设备的端口控制方法应用但不限于系统架构中的服务控制模块,并且终端设备配置有进程白名单集合,该终端设备的端口控制方法包括但不限于步骤S100-S200。
步骤S100:对进程白名单集合进行状态检测得到状态检测结果,并根据状态检测结果更新进程白名单集合;
步骤S200:当确定更新后的进程白名单集合为空,根据预配置的白名单接入时间集合生成用于控制终端设备的端口状态的端口控制策略。
在一实施例中,通过对进程白名单集合中的所有进程白名单进行状态检测得到状态检测结果,并根据状态检测结果更新进程白名单集合,从而实现对进程白名单集合中的进程白名单的过滤,降低被攻击的概率,当确定更新后的进程白名单集合不存在进程白名单后,根据预配置的白名单接入时间集合进行判断,从而生成用于控制终端设备的端口状态的端口控制策略,实现按照配置的时间集合控制端口状态,能够对端口状态进行调节,提高设备安全性。
可以理解的是,初始进行状态检测的进程白名单集合可以包括多个进程白名单,也可以直接为空,当初始的进程白名单集合为空,则直接根据预配置的白名单接入时间集合生产用于控制终端设备的端口状态的端口控制策略。
需要说明的是,预配置的白名单接入时间集合可以由计时器或者定时器等计时设备进行计时得到,白名单接入时间集合至少包括一组计时时间段,例如:接入时间段可以为上午九点至上午十点,下午十四点至下午十六点或者晚上二十一点至晚上二十二点等,本实施例不做具体限制。
可以理解的是,端口控制策略可以为开启端口、关闭端口、拒绝请求报文或者接受请求报文等,本实施例不做具体限制。
参照图3,图3是对步骤S100的进一步说明,当进程白名单集合包括至少一个进程白名单,步骤S100包括但不限于步骤S110和步骤S120。
步骤S110:对于每个进程白名单,从进程白名单中获取网络协议;
步骤S120:对与网络协议对应的访问链接进行状态检测,得到状态检测结果。
在一实施例中,当进程白名单集合包括至少一个进程白名单,对于进程白名单集合中的每个进程白名单,从进程白名单中获取网络协议,并且对与网络协议对应的访问链接进行状态检测,最终得到进程白名单集合状态检测结果,从而提高对进程白名单集合检测的准确性,提高终端设备的安全性,便于后续对进程白名单集合的更新。
在一实施例中,当状态检测结果包括访问链接处于非活动状态、释放状态或者断开状态中的至少一种,从进程白名单集合中删除与访问链接对应的进程白名单,得到更新后的进程白名单集合,避免发生潜在攻击的情况。
需要说明的是,当状态检测结果为访问链接处于非活动状态、释放状态或者断开状态中的至少一种,则可以从进程白名单集合中删除与访问链接对应的进程白名单,从而实现对进程白名单集合的更新,其中,非活动状态为访问链接不再活动。
可以理解的是,当状态检测结果包括访问链接处于活动状态、连接状态等,则继续保存与访问链接对应的进程白名单,并且持续更新进程白名单集合直至进程白名单集合为空。
参照图4,图4是对步骤S200的进一步说明,步骤S200包括但不限于步骤S210。
步骤S210:根据预配置的白名单接入时间集合和第一时间,生成用于控制终端设备的端口状态的端口控制策略。
需要说明的是,第一时间为确定更新后的进程白名单集合为空的时间。
可以理解的是,第一时间根据计时器或者定时器等计时设备定时得到。
在一实施例中,通过根据计时器预配置的白名单接入时间集合和根据定时器确定的第一时间,生成用于控制终端设备的端口状态的端口控制策略,从而通过设置时间集合实现对端口状态的控制,保障终端设备的安全,实现对进程白名单集合的实时更新。
在一实施例中,当确定第一时间未处于白名单接入时间集合内,生成用于拒绝外部访问设备服务请求的端口控制策略,从而提升终端设备的安全性。
需要说明的是,当第一时间未在白名单接入时间集合中的接入时间段中,则生成用于拒绝外部访问设备服务请求的端口控制策略,例如,白名单接入时间集合中的接入时间段为上午九点至上午十点,而第一时间为上午八点半,则生成用于拒绝外部访问设备服务请求的端口控制策略。
可以理解的是,生成用于拒绝外部访问设备服务请求的端口控制策略可以为关闭终端设备的端口,或者直接关闭终端设备等,本实施例不做具体限制。
在一实施例中,当确定第一时间处于白名单接入时间集合内,生成用于接受外部访问设备服务请求的端口控制策略,从而提升终端设备的安全性。
需要说明的是,当第一时间在白名单接入时间集合中的接入时间段中,则生成用于接受外部访问设备服务请求的端口控制策略,例如,白名单接入时间集合中的接入时间段为上午九点至上午十点,而第一时间为上午九点半,则生成用于接受外部访问设备服务请求的端口控制策略。
可以理解的是,用于接受外部访问设备服务请求的端口控制策略可以为开启终端设备的端口,或者接受外部访问设备服务请求等,本实施例不做具体限制。
参照图5,图5是本发明另一实施例提供的终端设备的端口控制方法的流程图,该终端设备的端口控制方法包括但不限于步骤S300。
步骤S300:当确定更新后的进程白名单集合不为空,重新对更新后的进程白名单集合进行状态检测。
在一实施例中,当确定更新后的进程白名单集合还包括进程白名单,则重新对更新后的进程白名单集合中的进程白名单进行状态检测,直至进程白名单集合为空,避免发生潜在攻击的情况,保证终端设备安全。
可以理解的是,重新对更新后的进程白名单集合进行状态检测,直至进程白名单集合为空后,再根据预配置的白名单接入时间集合进行判断,从而生成用于控制终端设备的端口状态的端口控制策略,实现对进程白名单集合的循环判断。
参照图6,图6是本发明一个实施例提供的进程白名单集合配置方法的流程图,该进程白名单集合配置方法包括但不限于步骤S400-S500。
步骤S400:获取第二时间;
需要说明的是,第二时间为由外部访问设备向终端设备发送的请求报文到达终端设备的时间。
可以理解的是,第二时间可以由定时器或者计时器等计时设备进行定时得到。
步骤S500:根据白名单接入时间集合、第二时间和请求报文配置进程白名单集合。
在一实施例中,根据预配置的白名单接入时间集合与请求报文到达的第二时间进行判断,根据判断结果配置进程白名单集合,便于维护人员的操作,对请求报文进行过滤,提高终端设备的安全性。
在一实施例中,当第二时间未处于白名单接入时间集合内,拒绝请求报文。
可以理解的是,当第二时间未在白名单接入时间集合的接入时间段中,则拒绝外部访问设备的请求报文,便于对请求报文的判断。
在一实施例中,当第二时间处于白名单接入时间集合内,且进程白名单集合已达到预设饱和状态,拒绝请求报文。
可以理解的是,在确定第二时间在白名单接入时间集合的接入时间段内后,还要对进程白名单集合是否达到饱和状态进行判断,当确定进程白名单集合已经达到预设饱和状态,则拒绝外部访问设备的请求报文。
需要说明的是,进程白名单集合的预设饱和状态可以根据具体应用场景的不同进行设置,此处不作限制。例如,可以为进程白名单集合中的进程白名单的数量是否达到上限,例如,开始设定进程白名单集合中最多可以包括十个进程白名单,则当进程白名单中已经含有十个进程白名单后,则进程白名单集合达到预设饱和状态;又如,可以为进程白名单集合中所有进程白名单所占用的内存空间已满,例如,开始分配给进程白名单集合十个吉字节的内存空间,则当进程白名单集合中所有进程白名单已经占用了十个吉字节,则可以确定进程白名单集合达到预设饱和状态;又如,可以为提前设置的一个匹配进程白名单集合的预设队列,将进程白名单集合中所有进程白名单的网络协议填入队列中,当队列被填满后,则可以确定进程白名单集合达到预设饱和状态。
可以理解的是,当通过进程白名单的个数判断进程白名单集合是否达到预设饱和状态,则进程白名单集合最多包括五个进程白名单、十个进程白名单或者十五个进程白名单等;当通过给进程白名单集合分配内存空间来判断进程白名单集合是否达到预设饱和状态,则分配给进程白名单集合的内存空间可以为十个吉字节、二十个吉字节或者三十个吉字节等;当通过建立预设队列来判断进程白名单集合是否达到预设饱和状态,队列长度可以为5、10或者15等,本实施例不做具体限制。
在一实施例中,当第二时间处于白名单接入时间集合内,且进程白名单集合未达到预设饱和状态,将与请求报文对应的网络协议作为一个进程白名单加入到进程白名单集合中。
可以理解的是,当第二时间在白名单接入时间集合的接入时间段中,并且进程白名单集合未到达预设饱和状态,则将与请求报文对应的网络协议作为一个进程白名单加入到进程白名单集中,从而实现对进程白名单集合的配置,便于维护人员的操作。
需要说明的是,进程白名单集合未达到预设饱和状态可以为:当预设饱和状态为进程白名单集合最多包括十个进程白名单,目前进程白名单集合中有八个进程白名单,当确定请求报文的第二时间在白名单接入时间集合后,并且判断进程白名单集合未达到预设饱和状态,则可以将与请求报文对应的网络协议作为一个进程白名单加入到进程白名单集合中,从而实现对进程白名单集合的配置;当预设饱和状态为进程白名单集合最多可以占用十个吉字节的内存空间,目前进程白名单集合中的所有进程白名单已经占用八个吉字节的内存空间,当确定请求报文的第二时间在白名单接入时间集合后,并且判断进程白名单集合未达到预设饱和状态,则可以将与请求报文对应的网络协议作为一个进程白名单加入到进程白名单集合中;当预设饱和状态为进程白名单集合为给进程白名单集合配置一个长度为十的队列,目前进程白名单集合中进程白名单的网络协议在队列中的长度为八,当确定请求报文的第二时间在白名单接入时间集合后,并且判断进程白名单集合未达到预设饱和状态,则可以将与请求报文对应的网络协议作为一个进程白名单加入到进程白名单集合中。
在一实施例中,对进程白名单集合进行状态检测得到状态检测结果,包括如下至少之一:
在开启终端设备的端口的情况下,对进程白名单集合进行状态检测得到状态检测结果;
在开启对于进程白名单集合的链接监控的情况下,对进程白名单集合进行状态检测得到状态检测结果。
需要说明的是,可以在开启终端设备的端口的情况下,对进程白名单集合进程状态检测得到状态检测结果,也可以在开启对于进程白名单集合中的链接监控的情况下,对进程白名单集合进行状态检测得到状态检测结果,便于对进程白名单集合进行状态检测,并且对终端设备的端口状态进行控制。
参照图7,图7是本发明另一实施例提供的终端设备的端口控制方法的流程图,该终端设备的端口控制方法包括但不限于步骤S600-S700。
步骤S600:配置白名单关闭时间集合;
步骤S700:当确定在白名单关闭时间集合内不存在由外部访问设备向终端设备发送的请求报文接入到终端设备的情况,删除白名单关闭时间集合。
在一实施例中,当确定更新后的进程白名单集合为空,通过定时器或者计时器等计时设备配置白名单关闭时间集合,并且当确定在白名单关闭时间集合内不存在请求报文接入到终端设备的情况,删除白名单关闭时间集合,提高终端设备的灵活性。
需要说明的是,当确定更新后的进程白名单集合为空后,启动计时器,配置得到白名单关闭时间集合,如果在白名单关闭时间集合的时间段中,有新的外部访问设备向终端设备发送的请求报文到达终端设备,则重新根据新的外部访问设备发送的请求报文达到终端设备的时间和预配置的白名单接入时间集合进行判断,确定到达时间处于白名单接入时间集合中,则判断进程白名单集合是否达到预设饱和状态,当进程白名单集合已达到预设饱和状态,则拒绝新的请求报文,当进程白名单集合未达到预设饱和状态,将与新的请求报文对应的网络协议作为一个进程白名单加入到进程白名单集合中。
在一实施例中,在执行终端设备的端口控制方法的过程中,如果发生终端设备重启或者重新拨号的情况,从而导致终端设备的网络协议改变,则关闭终端设备的端口。
为了更加清楚的说明终端设备的端口控制方法的流程,下面以具体的示例进行说明。
示例一:
参照图8,图8是一个具体示例提供的终端设备的端口控制方法的流程图。
图8左侧部分是接收并处理外部访问设备的开放端口或访问链接的请求报文,流程如下:
步骤1:本地终端设备通过网络产品界面设计(Website User Interface,WebUI)或者远程通过网络协议打开终端设备的端口自动控制,并设置白名单接入时间集合t1;
步骤2:接收外部远程设备请求访问设备某服务的请求报文到达终端设备;
步骤3:检查第二时间是否在t1内,如果不在白名单接入时间集合内,则拒绝此请求报文;如果在白名单接入时间集合内,则进入步骤4;
步骤4:检查进程白名单集合是否达到预设饱和状态。如果白名单未达到预设饱和状态,则把此请求的网际互连协议(Internet Protocol,IP)设置为白名单;如果白名单已经达到预设饱和状态,则拒绝请求报文;
在一实施例中,在开启终端设备的端口或者开启对于进程白名单集合的链接监控的情况下,对进程白名单集合进行状态检测得到状态检测结果,首先接收外部远程设备的请求报文,并且通过计时器得到请求报文到达终端设备的第二时间,根据白名单接入时间集合、第二时间以及请求报文配置进程白名单集合,当第二时间未处于白名单接入时间集合内,拒绝请求报文,当第二时间处于白名单接入时间集合内,判断进程白名单集合是否达到预设饱和状态,
如果进程白名单集合已达到预设饱和状态,则拒绝请求报文;如果进程白名单集合未达到预设饱和状态,将与请求报文对应的网络协议作为一个进程白名单加入到进程白名单集合中,便于维护人员的操作,对请求报文进行过滤,提高终端设备的安全性。
图8右侧部分是负责对所设的对外服务或者访问链接进行策略控制,时间控制以及维护进程白名单集合的状态信息,流程如下:
步骤1:开启终端设备的端口或开启对于进程白名单集合的链接监控;
步骤2:加载白名单接入时间集合,启动时间控制;
步骤3:进入状态检测,如果检测到在进程白名单集合中的ip相关的访问链接不再活动,或者访问链接处于释放或断开的状态,则删除与ip对应的进程白名单;否则继续进入状态检测;
步骤4:按照步骤3的描述,检测进程白名单集合中进程白名单的剩余个数是否为空,如果不为空,则继续进入状态检测;如果为空,则状态检测继续执行;
步骤5:按照步骤4的描述,如果第一时间在t1中,则修改端口控制策略为接受外部端口服务请求;如果第一时间不在t1中,则修改端口控制策略为拒绝外部端口服务请求。
在一实施例中,在开启终端设备的端口或开启对于进程白名单集合的链接监控的情况下,对进程白名单集合进行状态检测得到状态检测结果,对于每个进程白名单,从进程白名单中获取网络协议,对与网络协议对应的访问链接进行状态检测,得到状态检测结果,当状态检测结果包括访问链接处于非活动状态、释放状态或者断开状态中的至少一种,从进程白名单集合中删除与访问链接对应的进程白名单,得到更新后的进程白名单集合,并且根据预配置的白名单接入时间集合和第一时间,生成用于控制终端设备的端口状态的端口控制策略,如果第一时间未处于白名单接入时间集合内,生成用于拒绝外部访问设备服务请求的端口控制策略,如果第一时间处于白名单接入时间集合内,生成用于接受外部访问设备服务请求的端口控制策略,当确定更新后的进程白名单集合不为空,重新对更新后的进程白名单集合进行状态检测,提高设备安全性,降低被攻击的风险。
示例二:
参照图9,图9是本发明一个具体示例提供的用于终端设备的端口控制方法的网络拓扑的示意图。
设备A通过网线连接到路由器R1,R1进行5G/LTE(Long Term Evolution,长期演进)拨号,从运营商处获取到运营商内部分配的私网ip,对端存在同样进行了5G/LTE拨号的路由器R2,R2设备内部B进程监听传输控制协议(TCP,Transmission Control Protocol)的端口。路由器R1与网络之间存在核心网中的边界网元节点C1,其配置有全球唯一的wan ipaddress(外网网络协议地址),路由器R2与网络之间存在核心网中的边界网元节点C2。设备A发出的报文到达路由器R2,R2收到报文后触发网络端口自动控制功能,检测当前时间是否在设定的允许外部访问的t1时间集合内,判断完后将C1设备对应的wan ip address加入到白名单中,设备A进入与B进程的交互。交互完成后,链接断开并从白名单中删除,白名单为空。并且此时已经不在允许外部访问的t1时间集合内了,触发设备拒绝再接受外部端口服务请求。
另外,参照图10所示,本发明的一个实施例还提供了一种网络设备,该网络设备200包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序。
处理器220和存储器210可以通过总线或者其他方式连接。
存储器210作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器210可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器210可选包括相对于处理器220远程设置的存储器,这些远程存储器可以通过网络连接至该处理器220。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
以上所描述的实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
此外,本发明的一个实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个处理器或控制器执行,例如,被上述设备实施例中的一个处理器执行,可使得上述处理器执行上述实施例中的终端设备的端口控制方法,例如,执行以上描述的图2中的方法步骤S100至S200、图3中的方法步骤S110至S120、图4中的方法步骤S210、图5中的方法步骤S300、图6中的方法步骤S400至S500、图7中的方法步骤S600至S700。
此外,本发明的一个实施例还提供了一种计算机程序产品,包括计算机程序或计算机指令,计算机程序或计算机指令存储在计算机可读存储介质中,计算机设备的处理器从计算机可读存储介质读取计算机程序或计算机指令,处理器执行计算机程序或计算机指令,使得计算机设备执行如前面任意实施例的终端设备的端口控制方法。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
以上是对本申请的较佳实施进行了具体说明,但本申请并不局限于上述实施方式,熟悉本领域的技术人员在不违背本申请精神的前提下还可作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (12)
1.一种终端设备的端口控制方法,所述终端设备配置有进程白名单集合,所述端口控制方法包括:
对所述进程白名单集合进行状态检测得到状态检测结果,并根据所述状态检测结果更新所述进程白名单集合;
当确定更新后的所述进程白名单集合为空,根据预配置的白名单接入时间集合生成用于控制所述终端设备的端口状态的端口控制策略。
2.根据权利要求1所述的终端设备的端口控制方法,其特征在于,当所述进程白名单集合包括至少一个进程白名单,所述对所述进程白名单集合进行状态检测得到状态检测结果,包括:
对于每个所述进程白名单,从所述进程白名单中获取网络协议;
对与所述网络协议对应的访问链接进行状态检测,得到所述状态检测结果。
3.根据权利要求2所述的终端设备的端口控制方法,其特征在于,所述根据所述状态检测结果更新所述进程白名单集合,包括:
当所述状态检测结果包括所述访问链接处于非活动状态、释放状态或者断开状态中的至少一种,从所述进程白名单集合中删除与所述访问链接对应的所述进程白名单,得到更新后的所述进程白名单集合。
4.根据权利要求1所述的终端设备的端口控制方法,其特征在于,所述根据预配置的白名单接入时间集合生成用于控制所述终端设备的端口状态的端口控制策略,包括:
根据预配置的所述白名单接入时间集合和第一时间,生成用于控制所述终端设备的端口状态的所述端口控制策略,其中,所述第一时间为确定更新后的所述进程白名单集合为空的时间。
5.根据权利要求4所述的终端设备的端口控制方法,其特征在于,所述根据预配置的白名单接入时间集合和第一时间,生成用于控制所述终端设备的端口状态的所述端口控制策略,包括:
当确定所述第一时间未处于所述白名单接入时间集合内,生成用于拒绝外部访问设备服务请求的所述端口控制策略;
或者,
当确定所述第一时间处于所述白名单接入时间集合内,生成用于接受外部访问设备服务请求的所述端口控制策略。
6.根据权利要求1所述的终端设备的端口控制方法,其特征在于,所述端口控制方法还包括:
当确定更新后的所述进程白名单集合不为空,重新对更新后的所述进程白名单集合进行状态检测。
7.根据权利要求1所述的终端设备的端口控制方法,其特征在于,所述进程白名单集合由如下步骤配置得到,包括:
获取第二时间,其中,所述第二时间为由外部访问设备向所述终端设备发送的请求报文到达所述终端设备的时间;
根据所述白名单接入时间集合、所述第二时间和所述请求报文配置所述进程白名单集合。
8.根据权利要求7所述的终端设备的端口控制方法,其特征在于,所述根据所述白名单接入时间集合、所述第二时间和所述请求报文配置所述进程白名单集合,包括如下之一:
当所述第二时间未处于所述白名单接入时间集合内,拒绝所述请求报文;
当所述第二时间处于所述白名单接入时间集合内,且所述进程白名单集合已达到预设饱和状态,拒绝所述请求报文;
当所述第二时间处于所述白名单接入时间集合内,且所述进程白名单集合未达到预设饱和状态,将与所述请求报文对应的网络协议作为一个进程白名单加入到所述进程白名单集合中。
9.根据权利要求1所述的终端设备的端口控制方法,其特征在于,所述对所述进程白名单集合进行状态检测得到状态检测结果,包括如下至少之一:
在开启所述终端设备的端口的情况下,对所述进程白名单集合进行状态检测得到所述状态检测结果;
在开启对于所述进程白名单集合的链接监控的情况下,对所述进程白名单集合进行状态检测得到所述状态检测结果。
10.根据权利要求1所述的终端设备的端口控制方法,其特征在于,当确定更新后的所述进程白名单集合为空,还包括:
配置白名单关闭时间集合;
当确定在所述白名单关闭时间集合内不存在由外部访问设备向所述终端设备发送的请求报文接入到所述终端设备的情况,删除所述白名单关闭时间集合。
11.一种网络设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至10任意一项所述的终端设备的端口控制方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行如权利要求1至10任意一项所述的终端设备的端口控制方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210514184.8A CN117098131A (zh) | 2022-05-12 | 2022-05-12 | 终端设备的端口控制方法、网络设备及存储介质 |
| EP23802443.4A EP4513929A4 (en) | 2022-05-12 | 2023-02-15 | Port control method for terminal device, network device and storage medium |
| PCT/CN2023/076230 WO2023216667A1 (zh) | 2022-05-12 | 2023-02-15 | 终端设备的端口控制方法、网络设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210514184.8A CN117098131A (zh) | 2022-05-12 | 2022-05-12 | 终端设备的端口控制方法、网络设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117098131A true CN117098131A (zh) | 2023-11-21 |
Family
ID=88729604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210514184.8A Pending CN117098131A (zh) | 2022-05-12 | 2022-05-12 | 终端设备的端口控制方法、网络设备及存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP4513929A4 (zh) |
| CN (1) | CN117098131A (zh) |
| WO (1) | WO2023216667A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN120255761A (zh) * | 2023-12-27 | 2025-07-04 | 荣耀终端股份有限公司 | 界面显示的方法及电子设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8161552B1 (en) * | 2009-09-23 | 2012-04-17 | Trend Micro, Inc. | White list creation in behavior monitoring system |
| US10680893B2 (en) * | 2015-10-27 | 2020-06-09 | Alaxala Networks Corporation | Communication device, system, and method |
| CN111277539B (zh) * | 2018-11-16 | 2022-09-02 | 慧盾信息安全科技(苏州)股份有限公司 | 一种服务器勒索病毒防护系统和方法 |
| CN111368293B (zh) * | 2020-03-05 | 2022-11-22 | 深信服科技股份有限公司 | 进程管理方法、装置、系统与计算机可读存储介质 |
| CN114024695B (zh) * | 2020-07-16 | 2025-07-22 | 艾锐势企业有限责任公司 | 用于实现增强的UPnP订阅的方法、路由器、介质和设备 |
-
2022
- 2022-05-12 CN CN202210514184.8A patent/CN117098131A/zh active Pending
-
2023
- 2023-02-15 WO PCT/CN2023/076230 patent/WO2023216667A1/zh not_active Ceased
- 2023-02-15 EP EP23802443.4A patent/EP4513929A4/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4513929A1 (en) | 2025-02-26 |
| WO2023216667A1 (zh) | 2023-11-16 |
| EP4513929A4 (en) | 2025-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7991861B2 (en) | Method, device and system for configuring device parameters in digital subscriber line access network | |
| EP2950484B1 (en) | Device control method, network device, and network system | |
| US12206597B2 (en) | Method and apparatus for configuring quality of service policy for service, and computing device | |
| CN101083549A (zh) | 一种实现vpn配置服务的方法和系统 | |
| US20180295066A1 (en) | Identifying and managing connected nodes as reservable resources in a network | |
| CN113132227A (zh) | 更新路由信息的方法、装置、计算机设备和存储介质 | |
| CN103516531A (zh) | 一种自动发现网元的方法及对应网元、网管装置 | |
| JP2023523361A (ja) | ルート制御方法、装置、システムおよび境界ゲートウェイプロトコルピア | |
| US10757099B2 (en) | System and method for providing fraud control | |
| CN113395192B (zh) | 互联方法、系统及设备 | |
| US11974134B2 (en) | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network | |
| US12395846B2 (en) | Rogue network function detection and isolation in a communication network | |
| CN103595638A (zh) | 一种mac地址学习方法及装置 | |
| CN117098131A (zh) | 终端设备的端口控制方法、网络设备及存储介质 | |
| US7593397B2 (en) | Method for securing communication in a local area network switch | |
| CN108600302B (zh) | 物联设备的控制方法、装置和可读存储介质及计算机设备 | |
| CN116233655B (zh) | 一种业务处理方法、装置及存储介质 | |
| CN102571861B (zh) | 远程访问的方法、服务器和网络系统 | |
| US10965520B2 (en) | Method of controlling a residential gateway from a communication network, method of supervision, method of executing an action, corresponding devices and computer program | |
| US20060056314A1 (en) | Discovery of virtual private networks | |
| US20110296444A1 (en) | Customer premises equipment and method for processing commands | |
| CN119485080B (zh) | Fttr网络中子网关的管理方法、装置、存储介质和电子装置 | |
| CN112769732A (zh) | Nat安全及访问控制方法、装置、设备及存储介质 | |
| CN116633550A (zh) | 一种端口安全开放方法以及装置 | |
| US20080037528A1 (en) | Persistent Confirmed Configuration Method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |